2014年,手机支付安全的状况越加不容乐观。而Android系统漏洞却加剧了这一现状。2014年2月18日,国内漏洞报告平台乌云发布紧急预警称,淘宝和支付宝认证被爆存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,不清楚是否影响余额宝等业务。
MasterKey漏洞
2013年7月底,国家互联网应急中心发布信息,Android操作系统存在一个签名验证绕过的高危漏洞即Masterkey漏洞(Android签名漏洞)。
正常情况下,每个Android应用程序都会有一个数字签名,来保证应用程序在发行过程中不被篡改,但黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中, 进而针对捆绑手机用户进行恶意扣费,并向用户联系人发送恶意软件下载推荐短信,在Android系统中,MasterKey漏洞是最为常见的一个,黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软件,进一步操控用户的Android系统及他们的设备。
因此Android签名漏洞对移动支付安全性的威胁在于,黑客可以利用这个漏洞,对正版手机购物、第三方支付、银行、电商类等手机客户端进行篡改,植入恶意程序,而篡改之后的程序的数字签名不发生改变,对手机支付购物类的账号密码与资金造成严重威胁。
2013年9月,在乌云漏洞平台,被曝出多款Android应用出现严重手机挂马漏洞现象。黑客通过受漏洞影响的应用或短信、聊天消息发送一个网址,只要用户点击网友发过来的挂马链接,都有可能中招。接着手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。国内几大知名的手机浏览器APP等都受此漏洞影响,包括手机QQ浏览器、猎豹浏览器等最新版本浏览器已经修复该漏洞。
8诈骗短信、骚扰电话与支付风险
截止到2014年第一季度,垃圾短累计举报数接近12.29亿条。
其中,在2014年第一季度,广告类垃圾短信占比82.09%、诈骗类垃圾短信占比10.57%、违法类垃圾短信占比3.01%、其他类占比4.34%。
截止到2014年第一季度,骚扰电话累计标记总次数为1.48亿次。其中,在2014年第一季度用户标记的骚扰电话类型中,广告推销为20.79%、诈骗电话为18.99%、房产中介占比为16.3%、保险理财为14.69%、标记为其他类型的占比29.23%。